欢迎来到易发表网!

关于我们 期刊咨询 科普杂志

企业信息安全意识优选九篇

时间:2023-10-12 09:34:01

引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业信息安全意识范例。如需获取更多原创内容,可随时联系我们的客服老师。

企业信息安全意识

第1篇

当前,网络和计算机技术已经推动各行各业进入了数字化时代。数字化的企业承载着业务流和信息流,信息流引导业务流,业务流依附信息流,从而使企业的运行更加安全、可靠、优质、经济。

信息系统承载着企业几乎所有的运营管理信息,其安全性已经直接关系到整个企业的安全可靠运行。信息是企业的重要战略资源,确保其安全是现代信息化企业必须面临的重要任务。

随着企业信息化建设的不断深入,信息安全保障工作的重要性、迫切性日益凸现。如果网络和信息系统的安全隐患得不到有效地防范,企业就极有可能遭受到恶意攻击或破坏。信息安全事故不但会对公司业务、资产、形象造成影响,在某些行业,严重的还会引发区域性,乃至全国性的重大安全事故,其社会危害性无法估量。

据相关信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面远远落后于印度。数据显示,内地企业44%的信息安全事件与数据泄露、员工不当操作等管理问题有关,而全球的平均水平只有16%。

调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的信息安全事件。

目前,国内的计算机信息安全从技术角度来看并不十分落后,但发展过程中暴露出很多管理方面的问题,例如信息安全管理人员意识、知识等方面的缺乏,急需大量补充。而且,授人与鱼不如授人与渔,产品不是最重要的,重要的是要培养出安全的意识,否则企业的信息安全人员只是把产品买回去,并不能很好的发挥这些产品的作用,要从根本上解决安全的问题,必须提高员工的安全意识

二、误区多多,困难重重

面对瞬息万变的安全形势,企业并不是总能对症下药。寻找安全良方,避免种种安全的误区,才是长远的安全和发展之道。

误区1:外部威胁大于内部隐患

要防范威胁,首先要了解威胁来自于哪里。通常,人们都会认为来自于计算机黑客、恶意代码编写者等外部的安全威胁远远大于内部的安全隐患,所以一般企业安全范围的重点是在防范外部黑客攻击,但是超过一半的威胁恰恰来自企业内部,外部攻击仅占46%。

在内部安全威胁中,96%的是源于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来,内部威胁之所以危害巨大,归根结底,还是员工安全意识薄弱。

尽管在防范内部威胁方面,大多数企业还没有拿出切实有效的方案。但是从安全调查来看,57.6%的企业已经表示,培养并提高员工的信息安全意识,将是自己所在企业未来一年里,打算采取的最关键的安全策略。企业在未来之所以越来越重视员工信息安全管理,要归结于多个因素:近几年对安全意识的讨论越来越多,为安全意识从“概念”到“落地”做好了准备;安全厂商也在推出越来越多成熟、有效的产品和方案;不少企业的成功应用案例,也提供了很多借鉴性的经验。当然,最关键的是,企业自身的确实存在这样的安全需求,认识到了提高信息安全意识的重要性以及必要性。

误区2:信息安全是IT部门的事,与其他部门无关

在某些企业中,IT部门员工就像是救火队员,哪里出了问题就到哪里,东奔西走,十分辛苦。但是,就是这么一群任务繁重、任劳任怨的员工,却得不到其他同事的理解和认同。当IT人员为其他部门进行安全控制时(如进行安全检查、安装防病毒软件等),其他部门会反感,认为增加了他们的工作量,降低了工作效率。但当真正出现了信息安全事故时,其他部门又会责怪IT部门,认为其平时的安全防范工作没有做好。所以,IT部门往往是出力不讨好。

怎样彻底改变其他部门对IT部门的看法,怎样使公司全体员工主动、积极地配合IT部门的工作,甚至可以做到自查自纠?信息安全意识的提高无疑是关键。员工接受了安全意识宣贯之后,就会认识到保护信息的安全不仅仅是IT部门的职责,更是全体员工的责任;就会理解平时的安全措施不是绑着他们的绳索,而是护着他们的盾牌;就会在主动、自觉地规范自己的行为,防止信息安全事故的发生。

误区3:重视技术产品的引进,忽略安全意识的培养

如今,便携式的移动设备,比如U盘、PDA等,已经相当普及,移动办公已经成为不可逆转的趋势。但同时,U盘中毒、失窃所导致机密信息泄露的事件也屡见不鲜。所以,大多数企业越来越重视对移动设备的保护。许多公司统一采购了具有加密、杀毒功能,甚至可以指纹识别的高科技安全U盘,分发给员工,旨在杜绝U盘泄密事件的再次发生,但往往未能达到预期效果。

严谨的加密技术,配合访问控制技术,虽然可以在一定程度上防止移动设备上的数据被泄露,但依然无法防止员工不规范的使用,和移动设备的丢失或被盗。若员工把加密U盘插入自己的家庭电脑进行办公,那么病毒依旧有可能入侵到U盘中,这样再强的加密技术也无济于事。

和欧美等国家相比,中国U盘传毒的问题越来越严重,并且一直没办法根绝,这和员工缺乏安全意识紧密相关。通常,员工插取U盘时,很少会考虑到是否和公司的安全策略相违背,或者有可能引发公司的安全事故。

三、立体宣贯,提升实力

第2篇

关键词:信息安全;体系建设;方案

中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。

下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。

2 信息安全体系建设总体步骤

具体的实施步骤如图1所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。

图1 信息安全体系建设步骤

实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。

3 组织建设

信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。

3.1 信息安全管理部门

信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部门的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。

3.2 信息安全生产部门

信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。

4 管理建设

4.1 管理制度颁布

对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。

4.2 管理制度落实

信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:

一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。

二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。

5 基础设施建设及相关建设

信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。

此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。

6 系统建设

信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。

6.1 产品采购类

在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:

1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。

6.2 服务产品类

图2 信息安全体系建设并行建设步骤

服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:

1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。

6.3 研发产品类

信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的产品我们定义为研发类产品。研发类产品建设原则如下:

1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。

7 结束语

文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。

参考文献:

[1] 周学广,刘艺. 信息安全学[M]. 北京: 机械工业出版社,2003.

[2] 韩祖德. 计算机信息安全基础教程[M]. 北京: 人民邮电出版社, 2005.

[3] 陆广能. 浅析数字化档案信息安全问题[J]. 电脑知识与技术, 2005, (10):30-32.

[4] 李娟. 浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报, 2004, (4):20-25.

[5] 范开菊. 网络环境下档案信息安全问题探微[J]. 科技情报开发与经济, 2005, (2):47.

第3篇

21世纪是经济全球化的时代,产业安全是世界各国面临的共同问题。医药产业是我国经济重要组成部分,是当前形势下我国重点发展的支柱产业之一。在外资大量进入的背景下,很有必要对医药产业安全做一个评估。而医药产业作为新兴产业和传统工业相比有许多不同之处,应根据医药产业的特点界定产业安全指标。运用产业经济学和发展经济学等理论,从产业环境,国际竞争力,对外依存度,产业控制力等几个方面对我国医药产业安全进行了大体的评估,并在此基础上提出维护对策。

关键词:

医药产业现状;医药产业安全;维护对策

中图分类号:F2

文献标识码:A

文章编号:16723198(2013)02000702

当前世界经济按照经济全球化和区域经济一体化的趋势迅猛发展。经济全球化不仅通过商业贸易的全球化加剧了各行业的竞争,更重要的是从根本上改变了国际格局,使各个国家原有的国内国际产业环境发生了翻天覆地的变化。在经济全球化的挑战面前,如果不谨慎应对,将很可能丧失经济发展的良好环境,损失既有的产业链,更可能丧失有关国计民生的重要产业和核心技术的控制权。产业安全已成为我国经济发展的核心问题之一。

医药制造业是我国国民经济重要组成部分,关系到人民健康和国计民生,也是目前世界上发展迅速,竞争激烈,利润丰厚的高新产业之一。当前外资大量进入中国医药市场,对中国本土医药产业冲击较大,很有必要对其进行产业安全评估。对其他的高科技产业也有重要的借鉴作用。

1医药产业安全的基本界定

1.1 产业安全理论研究

亚当斯密是最早提出产业安全的人,他在《国民财富的性质和原因研究》一书中,大力主张进行自由的公平竞争,但提出要对涉及到国家安全的国防工业进行保护扶持。他认为,如果制造业是国防所需,那么靠邻国供给是不合适的。如果对这行业不进行奖励就无法维持,那么对于其他产业征税维护这一特定产业是合理的。他强调,对于涉及国计民生的产业,不能依赖国外。

18到19世纪,李斯特为代表的贸易保护主义者认为,工业化落后的国家在最初发展必须向幼稚产业提供例如关税等形式的贸易保护,以保护其在国外强大竞争下依然能够继续生存和发展。

20世纪70年代美国关注外资在美投资,美国前国务卿乔治鲍尔一次讨论国外直接投资的会议上提出,要多加注意外资的挑战,美国企业面对欧洲日本制造业要坚决维护自己的地位。

1966年弗农提出了产品生命周期理论,在此基础上国际产业转移理论发展了起来。随后日本学者小泽辉智提出了“增长阶段理论”,由于国外直接投资所引发的产业国际转移,既是发达国家调整产业结构,实现全球战略的重要手段,也是发展中国家改造和调整结构,实现产业进步和技术升级的重要途径。

我国学者何维达,李冬梅把产业安全的内涵界定为以下四类:一是产业控制说,强调相对于外国资本,本国资本要对相关产业有足够控制力;二是产业竞争说,强调本国产业要有较强的竞争力,各部门均衡协调发展,抵御开放竞争带来的各种不利因素;三是产业发展说,强调本国要控制关系到国家安全和国家战略的重要产业,并使这些产业在国际竞争中具有较大潜力;四是产业权益说,强调本国要保证国民的产业权益在开放竞争中不受损害。

曹秋菊把产业安全的内涵界定为动态和静态两个方面,从动态看,产业安全强调本国产业在开放竞争中具备较大的发展潜力,从静态看,产业安全强调本国控制关系到国家安全和国家战略的重要产业。

乔颖,彭纪生把产业安全内涵界定在以下五类:一是,强调外商利用资本和先进技术等优势,通过直接收购,合资等方式控制本国重要产业,威胁国家产业安全;二是能力论,强调本国产业对开放竞争带来的各种不利因素具有抵御能力,可以保持各部门协调均衡发展;三是状态论,强调要在开放竞争中抵御外来侵害,保护和发展本国产业;四是权力论,强调本国对重要产业的发展和调整拥有自;五是层次论,强调分不同层次界定产业安全的内涵。

王晓云,许芳把产业安全的内涵界定分为以下四个方面:一是强调将制造业安全作为国家产业安全主体;二是强调将民族产业安全范畴扩大至国民产业安全;三是强调从问题的根源界定外资对产业安全的威胁;四是强调在开放竞争环境下,本国对关系到国家安全和国家战略的重要产业的调整和控制。

1.2 医药产业安全的评价

评价产业安全,应包括两个部分,首先要对产业行业产品现状进行描述,主要反映产业的基础状况,即行业的实力,反映了对外依赖的程度和抵御入侵的能力;其次还有行业之外的许多因素如政策法规与大环境以及外资的影响等。

何维达提出,根据影响产业安全主要因素,将评价产业安全的指标主要划分为四种。这种指标体系在产业安全评价中得到了广泛应用,具体可分为:产业环境,产业国际竞争力,产业对外依存度,产业控制力。

我国医药产业安全可以从以下四个方面进行评价:我国医药产业环境; 我国医药产业国际竞争力;我国医药产业对外依存度;我国医药产业控制力。

2我国医药产业安全现状

2.1我国医药产业环境

医药产业环境是医药产业赖以生存的基础,受到市场环境和所投入的生产要素等影响,对医药产业的发展起到基础性作用。

我国医药企业融资渠道较少,常常发生产业发展资金不足的情况,但这些年随着金融市场的不断开放和改革深入,虽然问题不能立刻解决,但是医药产业资金得到了逐步改善。资产负债率反映了企业经营效益和风险,我国医药企业的资产负债率近年来逐年下降,说明产业良性发展。由于人口老龄化,经济发展,医保制度等原因,医药产业的市场需求逐年上升,这对医药产业的发展是个重要机遇。但是除了这些积极因素,我国医药企业的员工素质仍然有待提高,研发费用投入和新药数量仍然与发达国家有很大的差距。

2.2我国医药产业国际竞争力

产业竞争力能够显示产业的竞争优势,也是产业谋求生存和发展的基础。

我国医药产业的国际市场竞争力较弱,世界医药市场主要为发达国家的医药公司所垄断,我国出口商品在数量偏少,质量结构上也不合理,缺乏核心竞争力。在国内市场上,我国的本土企业占有大部分份额。在当前的形势下,很多外企在华设厂,药品贸易方面国内企业不够理想。我国医药企业的产业集中度较低。首先在我国医药产业发展的初期,由于医药产业的高回报率,和当时我国对医药产业发展的需求,导致众多资本进入医药产业。而当时有关医药产业的政策还不完善,更有某些政府自身的原因,没有对医药产业的发展予以正确引导和合理限制,而是盲目的发展,同时医药企业的进入壁垒过低也是一个重要原因。而我国医药企业的生产率和利润率还偏低,同质化竞争严重。

2.3我国医药产业对外依存度

对外依存度主要反映了医药产业受国际市场制约的程度。

我国医药企业的进口常年保持稳定的较低水平,较为安全。出口也较为稳定,主要是一些原料药。而对外资的利用则随着改革开放的深入大规模增加,我国医药企业对外商投资有所依赖,但目前还不明显严重。然而我国的技术非常依赖国外,一直以仿制药为主,很少有原创新药。我国医药产业实力正在不断增强,与国外交流日益频繁,但是缺乏自己的核心技术,必须要依靠创新形成属于自己的核心竞争力,这还需要很多努力。

2.4我国医药产业控制力

目前我国医药产业的投资仍然以国内企业为主,本土投资略多于外资以及港澳台投资,但是在利润上外资较高。而且外资正对国内企业进行大规模的并购,在股权和资本占有率上,预计数年内可能外资控制比例会进一步增加。而在品牌效应上,部分药品的领域外资占优势,拥有很强的品牌号召力,威胁到了国内品牌的发展。在技术上,外资占绝对优势,中国本土企业和国际医药公司的技术差距很大。不仅如此,我国企业的研发投入也远远不及外资企业。在对华投资的外资中,美国企业占大多数,也对我国市场有很大的控制能力。

3我国医药产业安全状况的主要问题

我国医药企业的产业环境和竞争力还不理想,产业集中度较低,我国医药企业有一些特点:企业数量众多,但是大企业少,小型企业多,资源和资本分散,普遍存在低效益,低技术含量,盲目运营等问题,缺乏有核心竞争力的大企业。

产品差异化可以扩大需求,满足不同需求层次消费者的需要,有利于培养品牌价值,扩大市场份额,同时也可以尽量避免不必要的同质化竞争,减少不必要的重复生产和浪费。然而,我国药品普遍存在技术含量低,附加值低的问题。导致我国医药产品技术重复率高,同质化竞争严重,造成了很多不必要的竞争和浪费。

我国目前的医药产业技术含量低,极度缺乏创新。生产的大部分产品都是同质化竞争严重,低技术低附加值的过剩药品,难以形成竞争力,而且直接导致恶性竞争,导致医药企业利润的下降。

随着外资的进入,我国医药产业对外资的依赖与日俱增,尤其是中国企业缺乏专利新药和核心竞争力,被外国医药企业控制市场的威胁也日益增长。我国医药产业对外资的依存度和外资的控制能力不容忽视,应引起足够的重视和警惕。

4改善我国医药产业安全的对策建议

4.1创造良好的法律和政策环境

我国的立法环境处在不断完善的阶段,医药产业的法律法规也应该完善。我们应加强知识产权意识,深入研究医药行业有关新技术的专利保护标准,制定并实施有利于国家创新技术的管理方法,在政策上鼓励企业研发创新。并对外资的入侵进行回应,制定能够有效保护国内医药产业的政策和措施,在有效利用外资的前提下,防止外资进入的负面影响。保护国内产业的健康正常发展。

4.2提高准入门槛,提高产业集中度和企业规模经济水平

应该提高企业的准入门槛,加强相关管理,提高医药产业的集中度,有效提升竞争力。医药产业的组织结构调整要以市场机制的调节作用为基础,并充分发挥政府的作用,推动企业的并购和联合,通过相应的产业政策,推动企业资产重组的进行,加快医药产业集中和规模化进程。

4.3加强管理和研发力度,培养创新能力

在保证增加政府经费对科研投入的同时,可以通过其他手段,例如经济手段,政策措施导向,以及约束机制等引导鼓励医药企业主动增加研发费用。对大型企业关键技术的研究开发要予以充分支持,尽早实现产业化投入。同时我们也要培养医药研发创新的专业人才,加强对医药企业技术人员的培训。

4.4合理利用国际贸易的法规,调整产业进出口结构

我们应加强对贸易规则经验和措施的研究学习,加强医药产业的自我保护能力。并合理利用规则,调整产品的进出口结构,使其朝着有利于国内企业发展壮大的方向发展,对国内的医药市场以至于中国的医药产业发展实施合理有效地保护。

参考文献

[1] 何维达,李冬梅.中国产业安全理论研究综述[J].经济纵横,2006,(8):7476.

[2]乔颖,彭纪生.国内产业安全问题的研究综述[J].济南大学学报,2007,(3):8689.

[3]王晓云,许芳.产业安全问题研究——基于生态学视角[J].郑州航空工业管理学院学报,2008,(3):510.

[4]刘学,陈文选,郑东连等.利用外资对中国医药业的影响[J].国际贸易,1994,(2):1927.

[5]顾丽萍.加入世界贸易组织后我国医药行业的外资利用问题探讨[J].上海医药,2000,21(10):910.

[6]祁添.新时期我国医药行业利用外资情况分析[J].黑龙江对外经贸,2003,(09):3031.

[7]许铭,李娜.浅析当前中国医药制造业产业安全状况[J].中国医药工业,2011,42(12):111115.

第4篇

关键词:移动终端模式;港口企业;安全管理;信息系统;设计

随着现代信息技术的不断发展,信息化技术在现代港口企业安全管理中的应用大大提高管理的效率。但目前一些港口企业的安全管理还存在着较大的问题,管理状态还停留在原始的状态上,给港口企业的安全管理带来一定的困扰。因此本文通过建立港口安全管理的信息化平台,改变港口安全管理的原始状态,提高港口管理的效率。

一、港口安全管理模块的功能性需求

港口安全管理是港口生产经营的重要保障,其主要的功能是确保港口的安全生产,保证港口的设施安保管理功能,建立应急管理备案和隐患排查制度,帮助港口企业提升对港口的安全监督,提高工作的效率,因此在设计港口安全管理信息系统时,该模块的安全管理要满足以下需求。

(一)安全文件备案:港口安全文件是上级部门的一些具有权威性的文件以及制定的一些制度性的文件,因此该模块的设计要求显示文件备案并允许上传附件供用户进行下载和浏览。

(二)隐患排查管理:隐患排查管理是保障港口安全生产的重要手段之一。港口企业要对自身的生产经营活动负主要的责任,需定期在港口生产经营的各个环节进行安全隐患排查工作,并保存在系统中进行公布。

(三)港口应急管理:港口应急管理包括多个方面的内容,需要建立相关的应急小组,设置应急的预案,准备各种应急的资源,定期进行应急演练等。应急预案的准备也就是对港口的安全管理实施安全文件,上级部门能够对存在的安全隐患迅速的做出应急措施。

二、港口安全管理信息移动终端的设计

港口安全管理信息移动终端是以计算机网络和地理信息系统(GIS)为基础建立的一个安全可靠、高效职能、可扩展的安全生产监督、监察业务管理信息系统,它能为安全生产监督部门实现网络化、数字化的协同办公,进一步实现业务管理规范化、种学化、信息化。

三、港口企业安全管理信息系统结构和功能设计

(一)安全文件备案管理模块:在安全文件备案管理模块中,行政部门的用户可以通过系统上传安全的文件提供给港口企业进行下载和浏览。用户使用对应的账号登录以后,对相应的模块进行判断,港口企业可直接查看信息,行政单位用户可以进入到安全文件备案中进行直接的操作,可以添加和删除安全文件的信息。在添加安全文件时用户可以直接使用账号登录系统,进入到安全文件备案管理模块,如果具有查看安全文件的权限,那么进入系统可以直接查看上级部门的一些行政性的文件或者制度性的文件。

(二)安全隐患排查模块:安全隐患排查主要是检查人员可以通过移动终端进行安全隐患的排查工作,并进入到相关的模块中,检查相关的隐患类型,如常规检查、交接班检查等,选择一项后系统会自动的加载该项的所有项目提供给检查人员检查。如果想要重新进行检查时可以选择相应的类型,系统将会自动加载该类型的相关项目,检查人员可以根据检查的实际情况选择自己所要检查的内容。

(三)港口应急管理模块:在应急管理模块中,管理人员可以通过移动终端进入到系统中建立相应的应急预案和应急小组,对应急资源和信息进行管理和维护。应急管理人员进入到系统中可以对各自负责的应急资源和信息进行管理和操作,可以添加应急的资源和信息,更新应急的信息和资源。

(四)移动终端的管理:在港口安全管理中,对管理人员的绩效考核往往是在事后进行核算,因此对于管理人员的业务水平很难形成动态的追踪,在人员的管理中出现了较大的阻碍。为完善管理人员的考核工作,且能够较准确的反应出人员对安全隐患的应急措施的有效性。

四、系统的试运行

系统试运行过程中,结合企业原有局域网系统,将软件安装在已有的服务器上,组织使用人员进行专题培训。系统试运行正式开始,技术人员与软件使用人员组织了多次沟通协调会,对系统功能进行了一系列补充和修改,系统的运行基本达到预期效果。从系统开始运行至今,安全管理信息系统在日照港的运行效果非常明显,在系统运行之前,以1名普通安全管理人员为例,每月花费在文件整理归档上的工作大约占到其工作总量的46%以上,每月的工作时间大约在84工作时左右;在管理系统运行后这部分的时间被缩减至17个工作时,累计节约时间达到80%以上。

第5篇

首先,鉴于中小企业的特点,在信息安全意识培训过程中需要考虑两个基本点。第一点,对全公司尽量培训一致的安全信息,并且这项计划要由信息技术部门负责管理。中小型企业规模往往比较小,不足以实行具有不同倾向性的多种培训计划。第二点,要清楚中小企业的大部分电脑使用者并不是专业人员,相关的培训应该简单且接近企业用户的水平。

其次,需要考虑的是中小企业信息安全方面需要培训哪些内容。一般而言,需要考虑的培训内容包括:用户管理、网络与电子邮件、移动设备与便携设备使用、对外保密、突发事件、系统操作安全等。

再次,需要根据自身特点选取适合中小企业信息安全意识的培训方法。一般来说,至少有三种途径可以用于企业进行安全意识培训:一是在公司内部寻找培训人员和培训部门,进行内部培训;二是聘请外部专业的培训公司进行培训;三是考虑依托于网络与电脑进行培训。但以上任何一种方案都有可能会超出中小型企业的能力,这时候还要根据企业自身特点来安排适当的途径进行培训。

那么,能满足规模较小的中小企业提高员工信息安全意识培训的合理途径是什么呢?有分析认为,可以在以上提到的三种途径的基础上加以改动,形成两种可用的途径:一是中小企业仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。二是中小企业可以创造性地在办公室张贴些成本低的彩色安全意识海报,对员工潜移默化地培训。

从企业内部来看,如果企业的信息技术部门能提供一个内部特制的培训计划是可行的。按照美国国家标准与技术研究院(NIST)的指导方针或其他材料,策划一天或半天的课程就足以使员工认识到有关电脑安全的一些重要问题。从企业外部来看,目前市场上也有不少专门面向中小型企业、价格合理的基于网络和电脑安全相关的培训。无论如何,需要考虑企业自身承受能力与受培训者的接受能力,根据实际情况来进行选择。

第6篇

关键词:烟草行业;信息安全;数据备份

在烟草行业运营与生产管理活动中,信息化工具发挥着较为重要的作用,已初步搭建了较为完善的网络架构与内部信息系统环境,成为烟草行业提升核心竞争力的重要基础。与此同时,信息安全问题也日益突出,已成为导致烟草行业数据丢失等的关键因素。因而,深入分析烟草行业信息安全风险与防控策略至关重要。

1烟草行业信息安全风险

烟草行业在信息化建设中,主要具有如下几个方面的信息安全问题。

1.1缺乏信息安全整体规划

整体而言,相比于西方等经济发达国家,国内信息安全技术发展相对滞后于网络技术,这必然会造成烟草行业在应用新型网络技术产品时,信息安全技术显得稍落后,难以保障烟草行业的信息安全。比如,部分烟草企业可能会选择使用PS防御系统,但是在综合权衡经济预算、信息安全实际应用需求等后,最终并没有决定使用性能最佳的信息安全产品,最终导致硬件难以满足信息安全风险防控的要求,这些均与烟草企业未制订积极有效的信息安全整体规划有较为紧密的关系。

1.2面临外部信息安全威胁攻击

在烟草企业经营管理活动中,为了便于管理员工高效工作,允许企业员工在外网通过VPN的方式访问烟草企业内部的信息系统。另外,在烟草企业内部网络应用过程中会有信息设备供应商以及其他信息系统服务商等第三方的介入,这也会导致烟草企业在网络应用中会频繁进行内外网连接,这给木马、黑客等攻击烟草企业网络架构以可乘之机。当烟草企业网络遭受攻击后,很有可能会导致烟草行业信息系统无法正常应用,致使烟草企业面临来自外部的信息安全风险。

1.3内部信息安全控制不力

信息技术在持续发展,可供烟草企业选择的信息设备以及信息系统也越来越多,大多数烟草企业已搭建起相对较为完整的基础网络架构以及应用系统服务群,包括生产销售管理平台、OA办公平台、综合服务管理平台等,这对于烟草企业正常的经营管理以及决策管理起到关键的作用,大大提升了烟草企业的办公效率。然而,烟草企业在利用信息技术获得便利的同时,也面临着来自内部信息安全控制不力的风险,包括不良网络信息冲击员工正确价值观,以及烟草企业内部员工较大的流动性给信息安全风险防控所带来的负面影响。

1.4员工信息安全意识薄弱

较强的员工信息安全意识,是提升烟草行业信息安全等级的重要渠道。在信息技术应用持续深化的情况下,传统的管理人员已难以满足信息时代下企业发展的需求。另外,当前部分烟草企业信息安全管理团队不完善,以及管理人员自身的信息安全意识较为薄弱,领导对信息安全管理工作不重视,或者员工存在侥幸心理,都会致使烟草企业产生不同程度的信息安全事故。

2烟草行业信息安全防控策略

针对当前烟草企业所面临的信息安全风险,建议从如下几个方面制定防范策略。

2.1科学高效地开展信息安全规划

科学、合理地规划烟草企业信息安全架构,是烟草企业防范信息安全风险的重要基础。首先,应根据信息安全的未来发展方向制订烟草企业的信息安全发展规划,以确保烟草企业所采取的防范措施符合整体发展方向,避免走错方向、浪费资金投入。其次,应紧密结合烟草企业的信息化建设现状与存在的问题规划信息安全发展方向。烟草企业的不同发展规划,对信息安全的管理需求有所不同,这就要求烟草企业紧密结合自身的信息安全发展需求,制定更具针对性的信息安全风险防控策略,以更高效地规避内部隐患、外部攻击。

2.2完善加密手段,构建加密渠道

在制订了科学合理的信息安全防范规划后,就应采取加密信息的手段,构建更为合理的加密渠道。比如,烟草企业在信息化建设中应要求信息技术人员研发信息加密的多样化手段,构建更为丰富的加密渠道,从而提升烟草信息平台的安全性。同时,还应加强烟草企业内部应用系统以及数据库的备份工作。再如,在实际管理中,烟草企业可以要求信息技术人员通过访问控制、数字签名、身份认证多种方式,以达到烟草企业防范信息安全风险的要求,还可以要求各个信息系统使用方妥善保管各个信息系统的登录密码,不允许使用复杂度过低的密码,应根据信息安全规范要求制定密码复杂度规则,以提升信息系统访问安全性。同时,还应定期提醒或要求用户更改密码,以达到安全管控的目的。

2.3做好企业内部数据备份与恢复工作

内部数据丢失风险,是当前烟草企业信息安全风险之一。积极做好企业内部数据备份与恢复工作,是规避数据丢失风险的重要方式之一。首先,应做好内部数据备份工作。比如,积极搭建异地数据灾备中心,选择一个相对安全的地方进行数据备份。选择性能更为强大、安全等级更高的备份系统,以更高效地执行数据备份,并且不影响其他应用系统的正常使用。其次,定期执行数据模拟恢复操作。部分烟草企业认为,只要定期完成内部数据备份工作便可确保烟草企业数据安全,忽视了备份数据的有效性。而积极开展模拟恢复操作,是确保所备份数据有效性的重要方法。因而,烟草企业应定期开展积极有效的模拟恢复操作,以确保所备份的数据是可用的,切实保护烟草企业的信息安全。

2.4重视培训提升员工信息安全意识

员工较高的信息安全意识,是烟草企业防范各种信息安全风险的重要保障。首先,应重视员工信息安全意识培训工作。烟草企业信息主管部门,在实际信息管理活动中,应定期或者不定期组织员工参与安全培训,或者通过微课的方式向员工们宣传信息安全知识。其次,应重视网络使用规范或者应用系统应用规范,以在规范员工信息行为的同时提升所有员工的信息安全意识,从而更为有效地规避信息安全风险。对于员工使用基础网络或系统过程中所存在的信息安全隐患,信息主管部门应针对这些案例进行整理,形成宣传文案,以提高所有员工的警惕性。

3结语

烟草业在信息建设中将面临着各种信息安全隐患,这要求信息建设管理人员从制订信息安全建设规划、完善加密手段、做好内部数据备份工作以及提升员工安全意识等方面入手,切实提升信息安全等级,保护信息建设成果。

作者:毛纪辉 单位:辽宁省烟草公司丹东市公司

参考文献

[1]刘轲.论烟草行业信息安全风险及防控[J].重庆与世界:学术版,2014(11):97-100.

第7篇

关键词:网络环境 企业信息 安全管理

引言

随着社会的发展,企业对信息资源的依赖程度来越大,由此带来的信息安全问题也日益突出。生产中的业务数据、管理中的重要信息,如果企业自身的信息安全管理有重大疏漏,也无法保证数据的安全可靠。当前,企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全,还要保护业务数据的信息安全,因此有必要从体系管理的高度构建企业信息安全。

一、企业信息安全的二维性

当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器等)的安全以及信息运转所处环境(包括硬环境和软环境,例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个角度进行全面的综合分析,则难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,树立企业信息安全的多维性,综合考虑企业信息安全的各个环节,扬长避短,采取多种措施共同维护企业信息安全。

1、技术维:技术发展是推动信息社会化的主要动力,企业通常需要借助于一项或多项技术才能充分利用信息,使信息收益最大化。然而,信息技术的使用具有双面性,人们既可以利用技术手段如电子邮件等迅速把信息发送出去,恶意者也可由此截获信息内容。为确保企业信息安全,必须合理的使用信息技术,因此,技术安全是实现企业信息安全的核心。

1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害,需要加以防范和检测。

2)信息备份。内在的软硬件产品目前还不能确保完全可靠,还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击,也会造成应用信息系统的瘫痪。为确保信息的不丢失,有必要采取技术备份手段,定期备份。

3)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。

4)网络访问。当今,一个离开网络的企业难以成功运转,员工通常需要从网络中获取各种信息。然而,网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此,有必要采用网络防火墙技术,控制内部和外部网络的访问。

2、管理维:企业信息安全不但需要依靠技术安全,而且与管理安全也息息相关。没有管理安全,技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法,加强内部和外部的安全管理、安全审计和信息跟踪体系,提高整体信息安全意识,把管理安全落到实处。

l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图,管理者应适时对信息安全方针评审,以确保信息安全方针政策的适宜性、充分性和有效性。

2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策,确保整个企业信息安全控制措施的实施和协调,以及外部人员访问企业信息和信息处理设施的安全,需要构建有效的信息安全组织架构。

二、企业信息安全构建原则

企业信息安全构建原则为确保企业信息的可用性、完整性和机密性,企业在日常运作时须遵守以下原则。

l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。

2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时要采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。

三、企业信息安全管理体系的构建

信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。安全技术是构建信息安全的基础,员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键,安全管理则是安全技术和安全意识恒久长效的保障,三者缺一不可。因此,在构建企业信息安全管理体系时,要全面考虑各个维度的安全,做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此,为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。

四、结论

信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看,技术、管理和资源是影响企业信息安全的3个角度。为此,应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时,也应注意到,信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。

参考文献:

第8篇

由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。

二、缺乏相关技术人才

大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。

三、中小企业信息化安全管理完善措施

(一)强化信息安全意识。企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视[2]。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。

(二)完善安全管理制度。有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。

(三)重点培养信息安全管理人才。任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强[3]。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。

四、结论

第9篇

关键词: 企业信息系统;信息安全;安全策略

中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01

随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。

最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,

4.2 提高企业员工的安全意识

科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。

5 结语

总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。

参考文献:

[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).

[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).

[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).

[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).

相关文章
相关期刊